Kubeadm: डिस्कवरी टोकन सीए हैश पाने के लिए कोई प्रोग्रामेटिक तरीका नहीं है

क्या आपने कुबेदम के हाल के संस्करण की कोशिश की है?

# kubeadm token create --print-join-command
kubeadm join --token 5d2dc8.3e93f8449167639b 10.0.2.66:6443 --discovery-token-ca-cert-hash sha256:44a68d4a2c2a86e05cc0d4ee8c9c6b64352c54e450021331c483561e45b34388

यह अभी भी बहुत अच्छा नहीं है - इस प्रोग्राम का उपयोग करने का प्रयास करने वाले किसी भी व्यक्ति को टोकन और डिस्कवरी टोकन हैश दोनों निकालने के लिए कमांड को पार्स करना होगा। यह बेहतर होगा अगर हम json जैसे आउटपुट फॉर्म को निर्दिष्ट कर सकें ताकि हम इसे सुरक्षित रूप से पार्स कर सकें

धन्यवाद, मुझे नहीं पता था कि इसके लिए एक अलग/नया आदेश था। मैं सहमत हूं, इसे जेसन में रखना अच्छा होगा। 1.6 और 1.7 के लिए मेरा पिछला कार्यप्रवाह, kubeadm टोकन जेनरेट था, और फिर उस मान का पुन: उपयोग करते समय init'ing और join'ing, kubeadm टोकन जेनरेट मशीन पठनीय सिंगल वैल्यू लाइन सीमांकित था, लेकिन अब यह प्रभावी रूप से एक मृत कमांड है क्योंकि इसमें कमी है सर्टिफिकेट हैश (और उस प्रारूप के कारण प्रति से एक्स्टेंसिबल नहीं)। फिर मशीन पठनीय क्यों है, मेरे पास शामिल होने के लिए अतिरिक्त पैरामीटर हैं और कुछ जिन्हें मुझे आईपी के लिए डीएनएस की तरह बदलने की आवश्यकता है।

हाँ, मुझे जॉइन-कमांड को एक फ़ाइल में डंप करना पड़ा, और फिर एक अनदेखा-प्रीफ्लाइट-त्रुटियों के झंडे को जोड़ने के लिए sed का उपयोग करना पड़ा, भयानक नहीं, लेकिन विशेष रूप से अनुकूल भी नहीं।

इसलिए इसे और अधिक प्रोग्रामेटिक बनाने और झंडे को डी-डुप्लिकेट करने के लिए चरणों को ट्रिम करने का एक सतत प्रयास है, यह केवल एक उपयोगकर्ता कहानी है। @fabriziopandini क्या आपके पास इसके लिए कहीं कोई मूल समस्या है?

@timothysc
स्नातक चरणों के लिए मुद्दा # 454 है, लेकिन यह एक तरह से पुराना है और हो सकता है कि आगामी केईपी को मंजूरी मिलते ही एक नए के साथ शुरू करना समझ में आता हो।

हालांकि, इस मुद्दे के संबंध में, IMO हमें सभी कमांडों में एक सुसंगत तरीके से मशीन पठनीय आउटपुट की मांग से निपटने के लिए एक समर्पित छाता मुद्दा खोलना चाहिए, क्योंकि अनुरोध kubeadm init/phases से kubeadm token तक फैला हुआ है। और kubeadm upgrade (#494 देखें)।

डब्ल्यूडीवाईटी? अगर यह आपके लिए ठीक है, तो मैं नया छाता मुद्दा खोलूंगा ...

मैंने अभी इस मुद्दे को खुद मारा है। मैं निम्नलिखित का उपयोग करके सीए प्रमाणपत्र की सार्वजनिक कुंजी के sha256sum की गणना करने में सक्षम था:

$ openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -pubkey | openssl rsa -pubin -outform DER 2>/dev/null | sha256sum | cut -d' ' -f1

सुंदर नहीं...

मैं नियमित अभिव्यक्तियों का उपयोग करता हूं। मैंने Ansible के साथ परीक्षण किया।

- hosts: localhost
  tasks:
    - shell: kubeadm token create --print-join-command
      register: results
    - debug:
        var: results.stdout
    - set_fact:
        token: "{{ results.stdout | regex_search(regexp, '\\2') | first }}"
      vars:
        regexp: '([^\s]+\s){4}([^\s]+)'
    - debug:
        var: token
    - set_fact:
        hash: "{{ results.stdout | regex_search(regexp, '\\2') | first }}"
      vars:
        regexp: '([^\s]+\s){6}([^\s]+)'
    - debug:
        var: hash

नतीजा:

TASK [debug] *******************************************************************************************************************************************************************************************************
ok: [localhost] => {
    "results.stdout": "kubeadm join 192.168.1.2:6443 --token 3a0fje.octau87o6x30dz8i --discovery-token-ca-cert-hash sha256:1fd18093fb89b364879d5667b7ec84fd24171c30de0070deb6a3801b54a0f85c"
}

TASK [set_fact] ****************************************************************************************************************************************************************************************************
ok: [localhost]

TASK [debug] *******************************************************************************************************************************************************************************************************
ok: [localhost] => {
    "token": "3a0fje.octau87o6x30dz8i"
}

TASK [set_fact] ****************************************************************************************************************************************************************************************************
ok: [localhost]

TASK [debug] *******************************************************************************************************************************************************************************************************
ok: [localhost] => {
    "hash": "sha256:1fd18093fb89b364879d5667b7ec84fd24171c30de0070deb6a3801b54a0f85c"
}

कई वर्कअराउंड के रूप में बंद करना।

यह अनुशंसित नहीं है, लेकिन https://github.com/cablespaghetti/kubeadm-aws/blob/master/worker.sh#L45 --discovery-token-unsafe-skip-ca-verification भी काम करते हैं

Azure पर, कार्यकर्ता और मास्टर संसाधनों के लिए टैग का उपयोग करना:
आरजी आरजी नाम के साथ एक चर है

MasterPrivateIp=$(az नेटवर्क nic list -g $rg --query "[?tags.module == 'k8smasters'].ipConfigurations[0].privateIpAddress" -o tsv)
tokenId=$(ssh $masterIp "kubeadm टोकन सूची | grep -v TOKEN | cut -d' ' -f1")
tokenSHA=$(ssh $masterIp "openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -pubkey | openssl rsa -pubin -outform DER 2>/dev/null | sha256sum | cut -d' ' -f1 ")

joinCommand="kubeadm $master में शामिल हों PrivateIp:6443 --token $tokenId --discovery-token-ca-cert-hash sha256:$tokenSHA"

$ में आईपी के लिए (az नेटवर्क सार्वजनिक-आईपी सूची -g $rg --query [?tags.module == 'k8sworkers'].ipAddress -o tsv)
करना
ssh $ip $joinCommand
किया हुआ